Антивирусные средства защиты информации

⇐ Назад
• 1
• 2
• 3
• 4
• 5
• 6
• 78

Одним из новых факторов, резко повысивших уязвимость данных хранящихся в компьютерных системах, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ вандалов — компьютерных вирусов.

Компьютерный вирус — это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в системные файлы, файлы других программ, вычислительные файлы с целью нарушения работы программ, порчи файлов и каталогов, созда­ния всевозможных помех в работе персонального компьютера. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100—150 новых штаммов ежемесячно.

Учитывая алгоритмы работы и способы воздействия вирусов на программное обеспечение их можно условно классифициро­вать по следующим признакам:

По среде обитания:

· файловые вирусы, поражающие исполняемые файлы, т. е. файлы с расширением .com, .exe, sys, .bat;

· вирусы, поражающие загрузочные секторы;

· сетевые, распространяющиеся по компьютерным сетям;

· драйверные, порождающие драйвера устройств.

По особенностям алгоритма:

· простейшие вирусы паразитические, они изменяют содер­жимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;

· вирусы-репликаторы (черви) — распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;

· вирусы-невидимки (стелс-вирусы) — перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;

· вирусы-мутанты, содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;

· квазивирусные или «троянские» программы, маскируются под полезную программу и разрушают загрузочный сектор и файловую систему дисков. Не способны к самораспрост­ранению, но очень опасны.

По способу заражения:

· резидентный вирус — при заражении (инфицировании) ком­пьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операцион­ной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

· нерезидентные вирусыне заражают память компьютера и являются активными ограниченное время.

По деструктивным особенностям:

· неопасные, не мешающие работе компьютера, но умень­шающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в ка­ких-либо графических или звуковых эффектах;

· опасные вирусы, которые могут привести к различным на­рушениям в работе компьютера;

· очень опасные, воздействие которых может привести к по­тере программ, уничтожению данных, стиранию информа­ции в системных областях диска.

Каким бы не был вирус, пользователю необходимо знать ос­новные методы защиты от компьютерных вирусов:

· общие средства защиты информации, которые полезны так­же и как страховка от физической порчи дисков, непра­вильно работающих программ или ошибочных действий пользователя. К ним относится копирование информа­ции — создание копий файлов и системных областей дис­ков, и разграничение доступа;

· профилактические меры, позволяющие уменьшить вероят­ность заражения вирусом: работа с дискетами, защищен­ными от записи, минимизация периодов доступности дис­кетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение про­грамм на «винчестере» в архивированном виде;

· организационные меры, состоящие в обучении персонала; обеспечение физической безопасности компьютера и маг­нитных носителей; создание и отработка плана восстанов­ления «винчестера» и др;

· специализированные программы для защиты от вирусов.

Поскольку использование антивирусных программ является основным средством защиты информации от компьютерных ви­русов, то данный вопрос рассмотрим более подробно.

Выделяют следующие виды антивирусных программ: детекто­ры, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

· Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти програм­мы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекто­ры, например Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую программу, которая мог­ла бы обнаруживать любой заранее неизвестный вирус.

Большинство программ-детекторов имеют функцию «докто­ра», т. е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

• Программы-ревизорыимеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных облас­тей дисков (загрузочного сектора и сектора с таблицей разбие­ния жесткого диска). Предполагается, что в этот момент про­граммы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо вклю­чить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютер­ным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежден­ные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными»— они могут отличать изменения в файлах, вызван­ные, например, переходом к новой версии программы, от изме­нений, вносимых вирусом, и не поднимают ложной тревоги. Другие программы часто используют различные полумеры — пытаются обнаружить вирус в оперативной памяти, требуют вы­зовы из первой строки файла autoexec.bat, надеясь работать на «чистом» компьютере, и т. д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

В последнее время появились очень полезные гибриды реви­зоров и докторов, т. е. доктора-ревизоры,— программы, которые не только обнаруживают изменения в файлах и системных об­ластях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, по­скольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволя­ет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Существуют также программы-фильтры,которые располага­ются резидентно в оперативной памяти компьютера и перехва­тывают те обращения к операционной системе, которые исполь­зуются вирусами для размножения и нанесения вреда, и сообща­ют о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

· Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти про­граммы крайне неэффективны.

В настоящее время разделение антивирусных программ на виды не является жестким, многие антивирусные программы со­вмещают различные функции. Производители антивирусных программ начали создавать не просто программы антивирусы, а комплексные средства для борьбы с вирусами. Одна из наиболее популярных и наиболее универсальных антивирусных про­грамм — DoctorWeb, антивирус Касперского Personal Pro, Norton AntiVirus Professional Edition. Это универсальные и перспектив­ные антивирусные программы, сочетающие функции антивирус­ного сканера, резидентного сторожа и доктора.

В качестве перспективного подхода к защите от компьютер­ных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирус­ные платы, которые вставляются в стандартные слоты расшире­ния компьютера.

 

46. Защита информации от несанкционированного доступа.

Несанкционированный доступ (НД) — это преднамеренное противоправное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям. Наиболее распространенными путями НД к информации явля­ются:

• применение подслушивающих устройств;
• дистанционное фотографирование;
• хищение носителей информации и документальных от­ходов;
• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечи­вающих доступ к информации;
• злоумышленный вывод из строя механизмов защиты;
• копирование носителей информации с преодолением мер защиты;
• маскировка под зарегистрированного пользователя;
• расшифровка зашифрованной информации;
• информационные инфекции и др.

Некоторые из перечисленных способов НД требуют доста­точно больших технических знаний и соответствующих аппарат­ных или программных разработок, другие — достаточно прими­тивны. Независимо от путей утечка информации может привес­ти к значительному ущербу для организации и пользователей.

Большинство из перечисленных технических путей НД под­даются надежной блокировке при правильно разработанной и реализованной на практике системе обеспечения безопасности. Однако зачастую ущерб наносится не из-за «злого умысла», а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные.

Несмотря на существенное различие размеров наносимого материального ущерба, нельзя не отметить, что проблема защи­ты информации актуальна не только для юридических лиц. С ней может столкнуться любой пользователь, как на работе, так и дома. В связи с этим, всем пользователям необходимо осозна­вать меру ответственности и соблюдать элементарные правила обработки, передачи и использования информации.

К защитным механизмам, направленным на решение про­блемы НД к информации относятся:

• управление доступом— методы защиты информации регу­лированием использования всех ресурсов информационной
• системы;
• регистрация и учет— ведение журналов и статистики обращений к защищаемым ресурсам;
• использование различных механизмов шифрования(крип­тографическое закрытие информации) — эти методы защи­ты широко применяются при обработке и хранении ин­формации на магнитных носителях, а также ее передаче по каналам связи большой протяженности;
• законодательные меры— определяются законодательными актами страны, которыми регламентируются правила поль­зования, обработки и передачи информации ограниченно­го доступа и устанавливаются меры ответственности за нарушение этих правил;
• физические меры— включают в себя различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств, информации от противоправных действий.

Управление доступом

Можно выделить три обобщенных механизма управления доступом к данным: идентификация пользователя, непосредст­венная (физическая) защита данных и поддержка прав доступа пользователя к данным с возможностью их передачи.

Идентификация пользователейопределяет шкалу доступа к различным базам данных или частям баз данных (отношениям или атрибутам). Это, по существу, информационная табель о рангах. Физическая защитаданных больше относится к органи­зационным мероприятиям, хотя отдельные вопросы могут ка­саться непосредственно данных, например, их кодирование. И, наконец, средства поддержки и передачи прав доступадолж­ны строго задавать характер дифференцированного общения с данными.

Метод защиты при помощи программных паролей.Согласно этому методу, реализуемому программными средствами, проце­дура общения пользователя с ПК построена так, что запрещает­ся доступ к операционной системе или определенным файлам до тех пор, пока не будет введен пароль. Пароль держится пользо­вателем в тайне и периодически меняется, чтобы предотвратить несанкционированное его использование.

Метод паролей является самым простым и дешевым, однако, не обеспечивает надежной защиты. Не секрет, что пароль можно подсмотреть или подобрать, используя метод проб и ошибок или специальные программы, и получить доступ к данным. Более того, основная уязвимость метода паролей заключается в том, что пользователи зачастую выбирают очень простые и легкие для запоминания (и тем самым для разгадывания) пароли, которые не меняются длительное время, а нередко остаются прежними и при смене пользователя. Несмотря на указанные недостатки, применение метода паролей во многих случаях следует считать рациональным даже при наличии других аппаратных и про­граммных методов защиты. Обычно метод программных паролей сочетается с другими программными методами, определяющими ограничения по видам и объектам доступа.

Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего использу­ются встроенные средства сетевых операционных систем (ОС).Использование защищенных операционных систем является од­ним из важнейших условий построения современных информа­ционных систем. Например, ОС UNIX позволяет владельцу файлов предоставлять права другим пользователям — только чи­тать или записывать, для каждого из своих файлов. Наибольшее распространение в нашей стране получает ОС Windows NT, в которой появляется все больше возможностей для построения сети, действительно защищенной от НД к информации. ОС NetWare, помимо стандартных средств ограничения доступа, та­ких, как система паролей и разграничения полномочий, имеет ряд новых возможностей, обеспечивающих первый класс защи­ты данных, предусматривает, возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формирова­нием электронной подписи для передаваемых по сети пакетов.

В то же время в такой системе организации защиты все рав­но остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее вре­мя используется комбинированный подход — пароль + идентификация пользователя по персональному «ключу».В качестве «ключа» может использоваться пластиковая карта (магнитная или со встроенной микросхемой — smart-card) или различные устройства для идентификации личности по биометрической информации — по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.

Пластиковые карточки с магнитной полосой можно легко подделать. Более высокую степень надежности обеспечивают смарт-карты— так называемые микропроцессорные карточки (МП-карточки). Их надежность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продуб­лировать. При выдаче карточки пользователю на нее наносится один или несколько паролей, известных только ее владельцу. Для некоторых видов МП-карточек попытка несанкционирован­ного использования заканчивается ее автоматическим «закрыти­ем». Чтобы восстановить работоспособность такой карточки, ее необходимо предъявить в соответствующую инстанцию. Кроме того, технология МП-карточек обеспечивает шифрование запи­санных на ней данных в соответствии со стандартом DES. Уста­новка специального считывающего устройства МП-карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и сер­верах сети.

Этот подход значительно надежнее применения паролей, по­скольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немед­ленно.

Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устрой­ствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление кон­трольных функций, в частности, регистрация попыток наруше­ния доступа к ресурсам, использования запрещенных утилит, программ, команд DOS.

По мере расширения деятельности предприятий, роста чис­ленности персонала и появления новых филиалов, возникает не­обходимость доступа удаленных пользователей (или групп поль­зователей) к вычислительным и информационным ресурсам главного офиса компании. Чаще всего для организации удален­ного доступа используются кабельные линии (обычные телефон­ные или выделенные) и радиоканалы. В связи с этим защита ин­формации, передаваемой по каналам удаленного доступа,требует особого подхода.

В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов — их разделение и передача параллельно по двум линиям, что делает невозможным «пере­хват» данных при незаконном подключении «хакера» к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность рас­шифровки «перехваченных» данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммирова­ны таким образом, что удаленные пользователи будут ограниче­ны в доступе к отдельным ресурсам сети главного терминала.

Метод автоматического обратного вызова.Может обеспечи­вать более надежную защиту системы от несанкционированного доступа, чем простые программные пароли. В данном случае пользователю нет необходимости запоминать пароли и следить за соблюдением их секретности. Идея системы с обратным вы­зовом достаточно проста. Удаленные от центральной базы пользователи не могут непосредственно с ней обращаться. Вначале они получают доступ к специальной программе, которой сооб­щают соответствующие идентификационные коды. После этого разрывается связь и производится проверка идентификационных кодов. В случае если код, посланный по каналу связи, правиль­ный, то производится обратный вызов пользователя с одновре­менной фиксацией даты, времени и номера телефона. К недос­татку рассматриваемого метода следует отнести низкую скорость обмена— среднее время задержки может исчисляться десятками секунд.

Метод шифрования данных

В переводе с греческого слово криптографияозначает тайно­пись. Это один из наиболее эффективных методов защиты. Он может быть особенно полезен для усложнения процедуры не­санкционированного доступа, даже если обычные средства за­щиты удалось обойти. В отличие от рассмотренных выше мето­дов криптография не прячет передаваемые сообщения, а преоб­разует их в форму, недоступную для понимания лицами, не имеющими прав доступа к ним, обеспечивает целостность и подлинность информации в процессе информационного взаимо­действия.

Готовая к передаче информация зашифровывается при помо­щи некоторого алгоритма шифрования и ключа шифрования. В результате этих действий она преобразуется в шифрограмму, т. е. закрытый текст или графическое изображение и в таком виде передается по каналу связи. Получаемые зашифрованные выход­ные данные не может понять никто, кроме владельца ключа.

Под шифромобычно понимается семейство обратимых пре­образований, каждое из которых определяется некоторым параметром, называемым ключом,а также порядком применения данного преобразования, называемым режимом шифрования. Обычно ключ представляет собой некоторую буквенную или числовую последовательность.

Каждое преобразование однозначно определяется ключом и описывается некоторым алгоритмом шифрования.Например, ал­горитм шифрования может предусмотреть замену каждой буквы алфавита числом, а ключом при этом может служить порядок номеров букв этого алфавита. Чтобы обмен зашифрованными данными проходил успешно, отправителю и получателю необхо­димо знать правильный ключ и хранить его в тайне.

Один и тот же алгоритм может применяться для шифрова­ния в различных режимах. Каждый режим шифрования имеет как свои преимущества, так и недостатки. Поэтому выбор режи­ма зависит от конкретной ситуации. При расшифровывании ис­пользуется криптографический алгоритм, который в общем слу­чае может отличаться от алгоритма, применяемого для шифрова­ния, следовательно, могут различаться и соответствующие ключи. Пару алгоритмов шифрования и расшифрования называ­ют криптосистемой (шифросистемой),а реализующие их устрой­ства — шифротехникой.

Различают симметричные и асимметричные криптосистемы. В симметричных криптосистемах для шифрования и расшифро­вания используется одинаковый закрытый ключ. В асимметрич­ных криптосистемах ключи для шифрования и расшифрования различны, причем один из них закрытый, а другой открытый (общедоступный).

Существует довольно много различных алгоритмов крипто­графической защиты информации, например, DES, RSA, ГОСТ 28147—89 и др. выбор способа шифрования зависит от особен­ностей передаваемой информации, ее объема и требуемой ско­рости передачи, а также возможностей владельцев (стоимость применяемых технических устройств, надежность функционирования и т. д.)

Шифрование данных традиционно использовалось прави­тельственными и оборонными департаментами, но в связи с из­менением потребностей и некоторые наиболее солидные компа­нии начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информа­ции. Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, исполь­зуемому в процессе шифрования. Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительствен­ным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией американских банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов провер­ки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высо­кую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превра­щения конфиденциальной информации в недоступную. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведом­ства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy). Шифрование данных мо­жет осуществляться в режимах On-line (в темпе поступления ин­формации) и Off-line (автономном).

Алгоритм RSA был изобретен Р. Л. Райвестом, А. Шамиром и Л. Альдеманом в 1978 г. и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качест­ве стандарта Национальным бюро стандартов.

DES, технически является симметричным алгоритмом, а RSA — асимметричным — это система коллективного пользова­ния, в которой каждый пользователь имеет два ключа, причем только один секретный. Открытый ключ используется для шифрования сообщения пользователем, но только определенный по­лучатель может расшифровать его своим секретным ключом; от­крытый ключ для этого бесполезен. Это делает ненужными сек­ретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, a RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгене­рировать за микросекунды, то примерное время генерации ключа RSA — десятки секунд. Поэтому открытые ключи RSA предпочи­тают разработчики программных средств, а секретные ключи DES — разработчики аппаратуры.

При обмене электронной документацией может возникнуть ситуация отказа одной из сторон от своих обязательств (отказ от авторства),а также фальсификация сообщений полученных от отправителя (приписывание авторства). Основным механизмом решения этой проблемы становится создание аналога рукопис­ной подписи — электронная цифровая подпись (ЦП). К ЦП предъявляют два основных требования: высокая сложность фальсификации и легкость проверки.

Для создания ЦП можно использовать как симметричные, так и асимметричные шифросистемы. В первом случае подписью может служить само зашифрованное на секретном ключе сооб­щение. Но после каждой проверки секретный ключ становится известным. Для выхода из этой ситуации необходимо введение третьей стороны — посредника, которому доверяют любыесто­роны, осуществляющего перешифрование сообщений с ключаодного из абонентов на ключ другого.

Асимметричные шифросистемы обладают всеми свойствами необходимыми для ЦП. В них возможны два подхода к построе­нию ЦП:

1) преобразование сообщение в форму, по которой можно восстановить само сообщение и тем самым поверить правиль­ность самой подписи;

2) подпись вычисляется и передается вместе с исходным со­общением.

Таким образом, для разных шифров задача дешифрования — расшифровки сообщения, если ключ неизвестен, имеет различ­ную сложность. Уровень сложности этой задачи и определяет главное свойство шифра — способность противостоять попыт­кам противника завладеть защищаемой информацией. В связи с этим говорят о криптографической стойкости шифра, различая более стойкие и менее стойкиешифры.

 

47. Защита информации от потери и разрушения.

48. Защита сведений, составляющих государственную тайну.

 

---

⇐ Назад
• 1
• 2
• 3
• 4
• 5
• 6
• 78